IT-basierte Risikoanalyse, in: bdp aktuell 126 | Februar 2016

Detailliert und vollständig

Die Risikoanalyse soll helfen, potenzielle Ereignisse mit absehbar negativen Folgen aufzudecken und zu vermeiden

Lupe + Tastatur

Unsere letztjährigen Beiträge zum Thema „IT-gestützte Risikoanalyse im Unternehmen, insbesondere bei digitaler Buchhaltung, Betriebsprüfungen und internen Kontrollsystemen“ haben bei Ihnen eine außerordentliche Resonanz gefunden. Zuletzt haben wir die Teilnehmer des Leipziger bdp-Fachforums im November 2015 dazu persönlich instruiert. Mit einer kleinen Serie wollen wir die Frage vertiefen, wie bdp Ihnen bei der Kontrolle Ihrer Geschäftsprozesse beistehen kann.

Sowohl bei der Risikoidentifikation vor einer externen Betriebsprüfung als auch bei der internen Revision und beim Aufbau eines internen Kontrollsystems setzt bdp die Analysesoftware IDEA ein, die auch vom Außenprüfer des Fiskus verwendet wird. Damit stellen wir einerseits Waffengleichheit mit dem Finanzamt her und können andererseits dolose Handlungen systematisch entdecken, ohne dabei nur auf glückliche Zufälle angewiesen zu sein.

Negative Auswirkungen vermeiden

Die Risikoanalyse soll helfen, potenzielle Ereignisse mit absehbar negativen Folgen aufzudecken und zu vermeiden. Oftmals sind bei einer retrograden Analyse unerwünschte Effekte bereits eingetreten. Dann soll die Risikoanalyse eine Hilfestellung geben, die daraus entstehenden Schäden zu minimieren und Handlungsalternativen für die Zukunft zu entwickeln.

Robert Mühlig

Robert Mühlig
ist Senior Consultant bei bdp Venturis.

Eine Risikoanalyse wird manuell, integriert in laufenden IT-Systemen oder periodisch im Anschluss an den Prozess durchgeführt. Letzteres machen Abschlussprüfer und die Finanzämter. bdp nutzt für die IT-gestützte Risikoanalyse die Software IDEA (Interactive Data Extraction and Analysis), die auch von den Finanzämtern eingesetzt wird. Damit kann eine gleichrangige Analyse angeboten werden.

Vom Unternehmen sind die Daten klassischerweise im GDPdU-Format, als CSV- bzw. Excel-Exporte oder als PDF-Dokumente bereitzustellen. Die Analyse und Systematisierung der Daten erfolgt differenziert und kann u. a. die folgenden ersten Zielstellungen haben:

  • Abgleich nach bestimmten Sollvorgaben
  • Suche nach Doppelbuchungen
  • Überprüfung der fortlaufenden Rechnungsnummern bzw. Aufzeigen von Lücken
  • Bestimmung von und Suche nach ungewöhnlichen Buchungen bzw. Geschäftsvorfällen oder Buchungstexten
  • Analyse von Stornobuchungen
  • Buchungen, die nicht in der zutreffenden Buchungsperiode erfasst wurden
  • negative Kassenbestände
  • Überziehung von Kreditlinien bei Bankkonten

Risikoanalyse im Vorfeld einer Betriebsprüfung

Unter Zuhilfenahme eines Zusatzmoduls der IDEA-Software sind somit auch Auswertungen aus PDF-Dokumenten und der Abgleich der Daten in Tabellen möglich, was die Anwendungsgebiete der Risikoanalyse dementsprechend erweitern kann.

So kann die Risikoanalyse im Vorfeld einer Betriebsprüfung durch deren Simulation vollzogen werden. Dies beginnt oft mit recht einfach anmutenden Fragestellungen wie:

  • Lassen sich meine Daten im erforderlichen GDPdU-Format ausgeben?
  • Sind alle erforderlichen Jahre vorhanden?
  • Aus welchen Nebensystemen wird die Betriebsprüfung zusätzliche Daten anfordern?

Dann werden die Daten so aufbereitet, dass eine umfangreiche und tief greifende Untersuchung ermöglicht wird. Bei bdp wird eine Analyse und Systematisierung der Daten auf unseren Rechnern durchgeführt. Dadurch kann den Routine-Tests des Finanzamtes vorgegriffen werden. Dies erfolgt bspw. durch den Abgleich der Tankbelege zum Fahrtenbuch, die Prüfung von Wochenendfahrten und die Plausibilisierung der gefahrenen Kilometer zum Benzinverbrauch.

Wir nehmen auch Summenkontrollen je Konto über mehrere Jahre vor. Runde Geburtstage können zu den Bewirtungsaufwendungen und Betriebsfeiern in Abstimmung gebracht werden. Ein Saisonvergleich der monatlichen Umsatzerlöse über mehrere Jahre ist ebenfalls aufschlussreich. Bei der Analyse werden auch Zeitreihenvergleiche von Umsatzerlösen zu Wareneinsatz, Personalaufwand oder Energieverbrauch vorgenommen.

Haben Sie als Unternehmen hohe, oder für das Finanzamt auffällige Vorsteuerüberhänge, zum Beispiel durch den Geschäftsbetrieb, oder größere Anschaffungen, kann eine Umsatzsteuer-Sonderprüfung angeordnet werden. Diese hat einen geringeren Umfang als eine vollständige Betriebsprüfung, da sowohl der zeitliche als auch der sachliche Umfang eingeschränkt ist.

Im Rahmen der Risikoanalyse kann dann zusätzlich geprüft werden, ob Geschäftspartner mehrfach angelegt wurden, ein zeitnahes Buchen oder Abweichungen zwischen Belegdatum und Buchungsdatum vorlagen. Analysiert werden typischerweise ungewöhnliche Umsatzsteuersätze und die größten Vorsteuerbelege. Umsatzsteuer-ID-Nummern können verglichen werden, Debitoren mit Leistungen ohne Umsatzsteuer fallen ins Auge, und es wird deutlich, ob die periodengerechte Anmeldung der Umsatzsteuer vorlag.

Problematische Lohnsteuerprüfung

Eine weitere problembehaftete Außenprüfung ist die Lohnsteuerprüfung. Denn je nach Ergebnis kann diese weitere Steuerzahlungen und Nachzahlungen bei den Sozialversicherungsabgaben nach sich ziehen. Sozialversicherungsprüfer nehmen ebenfalls gern Einsicht in den Lohnsteuerprüfungsbericht. Im Rahmen der IT-gestützten Risikoanalyse können zusätzliche Abgleiche vorgenommen werden, wie der Vergleich von Provisionszahlungen an Mitarbeiter zu Umsatzerlösen je Woche oder Monat oder eine Überprüfung der Sonn- und Feiertagszuschläge. Die pauschal besteuerten Bezüge können analysiert werden, Stammdatenänderungen oder Lohnsteuerklassenänderungen nachvollzogen werden. Weitere Abgleiche werden bei der Analyse der Reisekosten, Bewirtungen und Geschenke je Mitarbeiter, der Betriebszugehörigkeit der Mitarbeiter und runden Geburtstage vorgenommen.

Risiken im Unternehmen selbst

Eine Risikoanalyse ist nicht nur im Kontext einer Außenprüfung anzuraten. Sie ist auch aus Sicht Unternehmens selbst zur Vermeidung schädlicher Ereignisse und zur Identifikation von potenziellen oder inhärent bestehenden Risiken sinnvoll. Dabei kann es Überschneidungen der Analysefelder mit denen der Betriebsprüfung geben, aber man kann dabei auch viel freier und ausgerichtet auf einzelne Bereiche vorgehen. Es können so einzelne Problembereiche des Unternehmens in den Fokus genommen und einer Analyse unterzogen werden.

Daraus lassen sich oft Optimierungspotenziale ableiten, die Schäden abwenden oder zukünftig vermeiden helfen. Es können dabei auch dolose Handlungen aufgedeckt werden, oftmals stehen jedoch die betriebswirtschaftlichen Risikofelder im Vordergrund.

Für die Risikoanalyse im Unternehmen dienen als erste Ansätze oft Analysen zur Aufdeckung von unbeabsichtigten Doppelbuchungen und Doppelzahlungen oder die Suche nach Überzahlungen. Dazu werden Abstimmungen von Bankverbindungen mit Rechnungsdaten je Debitoren und Kreditoren vorgenommen. Die Analyse der Altersstruktur der Forderungen und Verbindlichkeiten kann weitere Risiken identifizieren.

Mit Lückenanalysen überprüft man die Vollständigkeit bspw. von Datenbeständen, Unterlagen oder Geschäftsvorfällen. Ein weiteres Mittel zur Identifikation von Risiken im Unternehmen stellt die Analyse von Korrekturbuchungen oder Mehrfachbuchungen zu einer Rechnungsnummer dar. Risiken, die u. a. die Ertragslage des Unternehmens treffen können, werden mit dem Vergleich von Preiserhöhungen bei Rohstoffen zu Preiserhöhungen bei Ausgangsprodukten festgestellt. Im Bereich der Lagerhaltung werden der Materialbestand mit letzter Bewegung oder auch Lagerhüter einer Untersuchung unterzogen. Es lohnt sich auch eine Analyse der Aufträge, die angenommen wurden, obwohl gegenüber dem Kunden überfällige Forderungen bestanden.

Aus der Praxis

Aus der aktuellen Praxis sei ein Fall erwähnt, bei dem Risikofelder im Bereich der sozialen Rahmenbedingungen identifiziert wurden. Wir wurden mit deren vollständigen Überprüfung beauftragt. Obwohl die Datenbasis mehrere 10.000 Datensätze umfasste und eine Vielzahl von Kriterien betraf, ist es uns nicht zuletzt durch den Einsatz unserer IT gelungen, diese im Detail und in Gänze zu überprüfen, abzugleichen und auszuwerten.

Fazit

Wir hoffen, dass diese Beispiele dazu beitragen, Sie für mögliche Risiken in Ihrem Unternehmen zu sensibilisieren. Selbstverständlich steht Ihnen bdp beratend zur Seite und hilft Ihnen, entsprechende Risikoanalysen durchzuführen.

In den folgenden Ausgaben von bdp aktuell werden wir uns mit dem systematischen Aufbau eines internen Kontrollsystems beschäftigen.

Foto: © doomu - Shutterstock